Développement logiciel sécurisé

Alors que les logiciels mangent le monde, le monde est confronté à une crise de sécurité logicielle. Le passage à des logiciels modernes tels que les technologies cloud et les architectures de microservices est essentiel pour innover rapidement. Pourtant, près de trois développeurs sur quatre affirment que la sécurité ralentit Agile et DevOps.

Ni les développeurs ni les équipes de sécurité ne sont à blâmer. La vitesse DevOps est freinée par un modèle de sécurité des applications basé sur l’analyse (AppSec) vieux de 15 ans, conçu pour le début des années 2000. Les outils de sécurité traditionnels ne peuvent pas suivre le rythme de développement rapide actuel ou l’échelle du portefeuille d’applications moderne.

Cependant, sacrifier la sécurité au profit de la vitesse de développement met en danger les informations personnelles et professionnelles critiques et confidentielles, des données financières aux données de santé, et peut perturber les opérations, voire provoquer des pannes.

Les scanners de code ne peuvent pas répondre aux DevOps modernes

Les approches AppSec héritées qui reposent sur l’analyse ponctuelle sont en proie à des retards de développement et des résultats très imprécis. Les analyses prennent plusieurs heures, voire plusieurs jours, ce qui n’est pas idéal pour les équipes agiles qui expédient le code plusieurs fois par jour.

Imaginez un bug de serveur sur une plateforme de commerce électronique desservant des millions de clients; la société perdra des milliers de dollars chaque seconde que le bogue persiste. Les équipes ne peuvent tout simplement pas attendre la fin de ces analyses de sécurité. De plus, une fois qu’ils sont terminés, les résultats de sécurité naïvement, mais involontairement, causent plus de mal que de bien.

Les résultats inexacts prennent la forme de faux positifs et de faux négatifs. Ce sont des faiblesses fondamentales des scanners de code car ils gaspillent le temps critique des développeurs sur des problèmes de sécurité qui n’existent même pas.

Les scanners de code ne peuvent pas faire la différence entre les faux positifs et les vrais positifs car ils sont “aveugles” au contexte d’exécution des applications, tel que l’intégralité des flux de données et de contrôle, la logique interne, la configuration et l’architecture, la vue de présentation, les bibliothèques et les cadres, et serveur d’application.

Le contexte d’exécution, qui échappe aux scanners de code, contient les informations critiques nécessaires pour différencier les faux positifs des vulnérabilités réelles.

Transformer AppSec avec une instrumentation de sécurité

Contrast Security transforme AppSec en proposant une approche radicalement différente. Tirant parti du même type d’approche d’instrumentation logicielle utilisée dans d’autres domaines du développement logiciel moderne tels que la surveillance des performances des applications (APM), Contrast intègre des capteurs de sécurité dans le binaire packagé au démarrage de l’application.

Le flux de données à travers l’application, en conjonction avec d’autres contextes d’exécution importants, active un moteur de correspondance de modèles intelligent qui produit des informations précises sur la sécurité.

Plutôt que de se concentrer sur les goulots d’étranglement et les interruptions de sécurité chronophages et frustrants dans l’écriture de code, les développeurs peuvent se concentrer sur la création d’applications innovantes et sécurisées. Contrast crée une approche complète de la plate-forme AppSec qui élimine pratiquement le bombardement des alertes de sécurité à partir de vulnérabilités faussement positives.

L’instrumentation de sécurité convient parfaitement aux logiciels modernes et aux DevOps car elle est évolutive. Les tests fonctionnels servent désormais également de tests de sécurité, remplaçant les experts en sécurité coûteux par des produits de sécurité conviviaux pour les développeurs et les retards de développement avec des délais de mise sur le marché accélérés.

Démocratiser l’AppSec moderne

Aspirant à rendre AppSec moderne disponible à tous les développeurs, quelle que soit leur capacité à payer, Contrast a lancé Community Edition, la seule plate-forme DevOps-Native AppSec gratuite conçue pour les développeurs. Community Edition offre un accès quasi complet aux produits de Contrast (Assess, OSS et Protect), les développeurs recevant des tests interactifs de sécurité des applications (IAST), des solutions d’analyse de la composition logicielle (SCA) et d’autoprotection des applications d’exécution (RASP), le tout gratuitement .

Comme point de départ, Community Edition permet aux développeurs de se concentrer uniquement sur la correction des vulnérabilités dérivées du code personnalisé qui comptent réellement à l’aide de Contrast Assess. Il offre également une visibilité et une gestion inégalées des risques de sécurité liés aux vulnérabilités introduites via des bibliothèques open-source et tierces à l’aide de Contrast OSS, une solution open-source d’analyse de la sécurité ou de la composition logicielle (SCA).

Contrast Protect, une solution d’autoprotection des applications d’exécution (RASP), permet aux développeurs d’étendre la sécurité instrumentée à l’exécution du produit. Contrast Protect surveille et bloque automatiquement les attaques contre les applications utilisant l’instrumentation à partir de l’application, même si la vulnérabilité existe toujours dans du code auto-écrit ou dans des bibliothèques open source.

Pensez-y. Les trois cas d’utilisation fondamentaux d’un programme de sécurité des applications moderne sont pris en charge dans une seule plate-forme: la plate-forme Contrast DevOps-Native AppSec. Les développeurs peuvent s’inscrire pour un compte gratuit, accédez à l’ensemble de la plateforme, et sécurisez leur application en une heure.

La principale limitation de Community Edition est que les développeurs ne peuvent instrumenter et sécuriser qu’une seule application Java ou .NET Core. En outre, une prise en charge plus large du langage de programmation et certaines fonctionnalités d’entreprise telles que le contrôle d’accès basé sur les rôles (RBAC) et les rapports packagés sont réservés aux utilisateurs payants.

Les développeurs peuvent démarrer avec Contrast Community Edition, en intégrant AppSec directement dans les outils DevOps modernes qu’ils utilisent déjà. Grâce à la flexibilité et à l’extensibilité de la plate-forme Contrast DevOps-Native AppSec, les développeurs peuvent déployer Community Edition sur l’un des nombreux Cloud Platform-as-a-Service (PaaS) de leur choix.

Ils peuvent être les premiers informés des vulnérabilités nouvellement découvertes via des outils de chat, ajouter des barrières de sécurité aux pipelines d’intégration continue / déploiement continu (CI / CD), suivre la correction via des systèmes de billetterie.

Plus important encore, les développeurs peuvent en apprendre davantage sur les options de correction dans les environnements de développement intégrés (IDE) et les éditeurs de code.

Découvrez le portail Contrast

Les captures d’écran suivantes illustrent les principales fonctionnalités de Community Edition et visent à aider les développeurs à mieux se familiariser avec le produit et ses interfaces utilisateur d’introduction.

Plateforme AppSec native DevOps de Contrast Security

Écran d’accueil – Une vue unique de l’état de sécurité de l’ensemble du portefeuille d’applications d’un utilisateur. Les développeurs reçoivent une note d’une seule lettre qui indique l’état général de leur portefeuille ainsi que des scores de sécurité pour le code personnalisé et l’utilisation de la bibliothèque. Ils peuvent également en apprendre davantage sur les mesures de correction, les ventilations de l’état des vulnérabilités et l’historique des attaques.

Plateforme AppSec native DevOps de Contrast Security

Grille de vulnérabilité – Explorez l’état de sécurité d’une application spécifique en affichant une liste des vulnérabilités trouvées dans le code source personnalisé pendant l’exécution de l’application. Filtrable par gravité et état, la liste donne des descriptions rapides des types de vulnérabilités trouvées ainsi que les premier et dernier horodatages détectés.

Plateforme AppSec native DevOps de Contrast Security

Vue de vulnérabilité – Obtenez un accès sans précédent à des informations détaillées sur les vulnérabilités trouvées dans le code source personnalisé pendant l’exécution de l’application. Découvrez ce qui a été trouvé exactement, comprenez le risque de sécurité, suivez le flux de données ou même rejouez la requête HTTP. Plus important encore, obtenez des conseils d’assainissement clairs et exploitables.

Plateforme AppSec native DevOps de Contrast Security

Vue Open Source – Explorez l’état de sécurité d’une application spécifique en affichant une liste de tous bibliothèques open-source et tierces utilisé par l’application. Filtrable par gravité et état, la liste donne des notes de lettre indiquant la sécurité de cette bibliothèque tout en communiquant le nombre de classes de bibliothèque instanciées et la dernière version de bibliothèque vers laquelle le développeur doit mettre à niveau pour réduire les risques de sécurité.

Plateforme AppSec native DevOps de Contrast Security

Vue d’attaque – Surveillez les attaques contre l’application tout en découvrant l’adresse IP de l’attaquant, la vulnérabilité exploitée et les délais d’attaque. Utilisez Contrast Protect pour bloquer et empêcher automatiquement ces attaques, connues et inconnues (zero-day), de réussir soit au périmètre de l’application, soit juste avant que l’action malveillante ne soit entreprise depuis l’application.

Bénéficiez de la puissance d’AppSec innovante et précise

Les outils de sécurité des applications traditionnels tels que les scanners de code ne peuvent pas suivre le rythme rapide actuel du développement d’applications, qui est la pierre angulaire d’une innovation rapide.

Contrast Community Edition démocratise AppSec, permettant à DevOps d’accélérer à la vitesse de l’entreprise grâce à l’instrumentation de sécurité. Les développeurs peuvent acquérir une expérience de première main en s’inscrivant à Community Edition dès aujourd’hui. Obtenir un compte gratuit aujourd’hui et commencez à écrire du code sécurisé plus rapidement.



LEAVE A REPLY

Please enter your comment!
Please enter your name here